訪問控制
-
檢測性訪問控制(Detective Access Control)
- 作用:用于發現和記錄未經授權的活動。
- 方式:這類控制本身不直接阻止攻擊或違規行為,而是監測、檢測并記錄這些事件,以便后續調查或響應。
- 例子:
- IDS(入侵檢測系統)監視流量并記錄可疑行為。
- SIEM(安全信息和事件管理)工具收集日志并分析異常活動。
- 安全審計日志,記錄用戶訪問行為,以便發現違規操作。
-
預防性訪問控制(Preventive Access Control)
- 作用:防止未經授權的活動發生。
- 方式:它是一個“事前”控制,目標是阻止威脅或違規行為的發生,而不是事后補救。
- 例子:
- ACL(訪問控制列表)限制某些用戶訪問特定文件或資源。
- 防火墻規則阻止惡意 IP 訪問內部網絡。
- 賬戶鎖定策略,防止暴力破解密碼。
-
威懾性訪問控制(Deterrent Access Control)
- 作用:通過威懾手段讓攻擊者或內部人員不敢進行惡意操作。
- 方式:它不是直接的技術防護,而是心理上的震懾,讓潛在的違規者知難而退。
- 例子:
- 監控攝像頭,讓員工或訪客知道他們的行為在被監視。
- 違規警告標識,例如“未經授權的訪問將被追究法律責任”。
- 公司的安全政策,明文規定違規行為的處罰措施。
-
糾正性訪問控制(Corrective Access Control)
- 作用:在發生故障、入侵或系統被破壞后,恢復系統到正常狀態。
- 方式:它是一種“事后”控制,目的是修復損害,并盡可能減少影響。
- 例子:
- 備份和恢復機制,在系統崩潰后恢復數據。
- 撤銷惡意軟件的影響,例如自動隔離受感染的主機并執行補救措施。
- 事件響應計劃,當發生安全事件時采取措施修復漏洞。
強口令
-
難猜、不可預料,符合最低長度要求
- 目的:防止口令被暴力破解或社工攻擊。
- 原因:
- 太短的口令容易被暴力破解(Brute Force)。
- 可預測的口令(如生日、“123456”)容易被字典攻擊(Dictionary Attack)。
- 強口令通常包含大小寫字母、數字、特殊字符,并且長度至少為 12-16 位。
-
隨機生成,使用所有字母、數字和標點符號
- 目的:增加口令的復雜度和熵值(Entropy,衡量密碼隨機性的指標)。
- 原因:
- 人類容易使用有模式的密碼(如“P@ssw0rd123”),但這些模式可以被智能猜測。
- 計算機隨機生成的密碼(如
Xy9@Lm!2#qR%)更難破解。 - 結合所有字符類型,使攻擊者無法通過模式匹配輕松破解。
-
不得寫下來或與人共享
- 目的:防止因人為疏忽導致口令泄露。
- 原因:
- 寫在紙上或存到文本文件中,容易被竊取或拍照。
- 與他人共享,可能會導致內部威脅(Insider Threats)。
- 更安全的替代方案是使用密碼管理器(如 Bitwarden、Keepass)。
-
不得存放在可公開訪問或可讀的位置
- 目的:防止口令被意外泄露。
- 原因:
- 存放在桌面上的 TXT 文件、Excel 或 瀏覽器自動填充中,很容易被惡意軟件或入侵者讀取。
- 代碼庫(如 GitHub)泄露環境變量
password="admin123",容易被黑客發現。
-
不得以明文傳送
- 目的:防止**中間人攻擊(MITM)**攔截口令。
- 原因:
- 通過 HTTP、電子郵件、聊天工具(如 QQ/微信)發送明文口令,容易被截獲。
- 應使用加密傳輸(如 HTTPS、TLS/SSL)。
- 多因素認證(MFA)可以額外提供安全保障,即使密碼被竊取,仍然需要額外的驗證步驟。
IDS
1. 基于網絡的 IDS(NIDS)
- 作用:監測網絡流量,檢測攻擊嘗試(包括 DoS 攻擊)。
- 優點:
- 能夠檢測外部攻擊,如 SYN Flood、UDP Flood、ICMP Flood 等 DoS 攻擊。
- 能發現持續性的入侵嘗試,如暴力破解、掃描活動等。
- 局限:
- 無法確認攻擊是否成功,因為它僅分析網絡流量,而不檢查主機系統狀態。
- 無法精準定位受影響的資源,無法知道具體哪個用戶、文件或應用程序被破壞。
- 可能被加密流量(如 HTTPS)繞過,需要配合解密技術或基于主機的檢測。
示例:
- Snort、Suricata(開源 NIDS)
- Zeek(Bro)(分析網絡流量的 IDS)
2. 基于主機的 IDS(HIDS)
- 作用:監測特定主機上的活動,如文件變更、異常進程、日志分析等。
- 優點:
- 能夠檢測是否成功入侵,如攻擊者是否篡改了系統文件、修改了權限等。
- 監測特定用戶、進程和應用程序的異常行為,提供詳細的入侵痕跡。
- 局限:
- 無法高效檢測網絡級別的 DoS 攻擊,因為它關注的是主機行為,而不是網絡流量。
- 如果攻擊直接導致主機癱瘓(如 CPU 資源耗盡、磁盤寫滿),HIDS 可能失效。
示例:
- OSSEC(開源 HIDS)
- Wazuh(支持 SIEM 的 HIDS)
- Tripwire(監測文件完整性的 HIDS)
3. 漏洞掃描器
- 作用:掃描系統和應用程序的已知漏洞,并提供修復建議。
- 優點:
- 能識別可能被攻擊利用的漏洞,如未打補丁的服務、弱口令等。
- 有助于提前預防 DoS 漏洞,但不會實際執行攻擊。
- 局限:
- 不會主動檢測 DoS 攻擊,只能發現潛在的 DoS 漏洞。
- 不能判斷漏洞是否已經被利用,僅提供可能存在的安全風險。
示例:
- Nessus(商業漏洞掃描器)
- OpenVAS(開源漏洞掃描器)
- Qualys(云端漏洞掃描)
4. 滲透測試
- 作用:模擬攻擊者,主動測試系統的安全性,包括 DoS 相關漏洞的利用。
- 優點:
- 可以驗證是否存在可被利用的 DoS 漏洞,并測試系統的抗攻擊能力。
- 提供真實的攻擊視角,比漏洞掃描更具針對性。
- 局限:
- 不屬于檢測工具,它是主動測試而不是被動監測。
- 可能會導致實際 DoS 攻擊,影響業務運行,因此需要事先授權并做好應急措施。
示例:
- Kali Linux(提供 DoS 滲透測試工具,如 hping3、slowloris)
- Metasploit(可以測試 DoS 漏洞)
- LOIC、HOIC(用于 DoS 測試)
| 工具類型 | 是否能檢測 DoS 攻擊? | 作用 | 局限性 |
|---|---|---|---|
| NIDS(網絡 IDS) | 可以檢測 | 發現 DoS 攻擊流量 | 不能確認攻擊是否成功,無法定位受影響系統 |
| HIDS(主機 IDS) | 難以檢測 | 監測主機行為 | 不能檢測網絡層 DoS 攻擊,主機崩潰時可能失效 |
| 漏洞掃描器 | 不能檢測 | 發現潛在 DoS 漏洞 | 不能判斷攻擊是否發生,僅提供預防建議 |
| 滲透測試 | 可執行 DoS 攻擊 | 發現 DoS 漏洞,驗證系統防御 | 不是檢測工具,可能會影響業務 |
DOS
1. 非惡意 DoS 事件
DoS 并非總是黑客刻意發動的攻擊,某些軟件或系統設計缺陷也可能引發 DoS,例如:
-
CPU 資源占用問題
- 某些進程可能因為死循環或線程鎖定,導致 CPU 資源耗盡,影響系統其他任務的執行。
- 例如:某個應用程序不斷請求資源但從不釋放,導致整個系統變慢或崩潰。
-
內存泄漏
- 某些應用程序未正確管理內存,導致 RAM 被不斷消耗,最終導致系統宕機。
- 例如:一個 Web 服務器在每次處理請求時分配新內存,但從不釋放它,最終耗盡所有可用內存。
-
不合理的資源消耗
- 某些服務的資源消耗與處理的請求量不成比例,導致服務器無法處理正常流量。
- 例如:某個數據庫查詢請求占用過多 CPU 或 I/O 資源,即使請求量不大,系統仍然崩潰。
實際案例:
- 1990 年代 Windows 95 的“死亡藍屏”(BSOD):某些應用程序可以導致整個系統崩潰,迫使用戶重啟電腦。
- 2010 年 iPhone 4 信號問題:用戶握住手機特定區域,導致信號嚴重下降,影響正常通話(這雖然不是典型的 DoS,但類似的設計缺陷可能導致某些服務不可用)。
2. 社會工程與 DoS 之間的區別
- 社會工程(Social Engineering)
- 主要指通過欺騙、偽裝、心理操縱等方式獲取敏感信息或訪問權限。
- 例如:黑客假裝是 IT 主管,欺騙客服人員重置管理員密碼。
- 與 DoS 的區別:社會工程主要針對人,而 DoS 攻擊是針對系統資源,使其無法正常運行。
示例:
- 假裝是 IT 技術人員,騙取員工的 VPN 賬號密碼(社會工程)。
- 發送大量垃圾郵件,讓用戶郵箱爆滿,難以找到正常郵件(DoS)。
3. 嗅探(Sniffing)與 DoS 的區別
- 嗅探(Sniffing)
- 指攔截網絡流量,分析數據包內容,以便竊取用戶名、密碼、敏感信息等。
- 例如:使用 Wireshark 監聽未加密的 HTTP 傳輸,獲取登錄憑據。
- 與 DoS 的區別:嗅探的目的是竊取信息,而 DoS 的目的是使服務癱瘓。
示例:
- 黑客在開放 Wi-Fi(如咖啡店)進行嗅探,竊取用戶的登錄憑證(嗅探)。
- 黑客向服務器發送大量垃圾流量,導致網絡堵塞(DoS)。
4. 發送騷擾信息 vs. DoS
-
垃圾郵件(Spam)
- 發送大量垃圾郵件(如廣告、詐騙郵件)可能影響收件人的郵箱正常使用。
- 但如果郵件量不夠大,僅僅是騷擾行為,不能算 DoS。
-
當垃圾郵件變成 DoS
- 郵件炸彈(Email Bombing):向某人郵箱發送大量郵件,導致郵件服務器超載,從而阻止收件人收到其他郵件(這就屬于 DoS)。
- 例如:有人向受害者的郵箱發送百萬封郵件,導致郵箱滿溢,影響正常通信。
示例:
- 黑客用腳本每天向某用戶郵箱發送 2~3 封威脅郵件(騷擾,不是 DoS)。
- 黑客用 botnet 向服務器發送數百萬封郵件,導致郵件服務器宕機(DoS)。
總結
| 概念 | 是否屬于 DoS 攻擊? | 解釋 |
|---|---|---|
| CPU 資源耗盡 | 可能是 | 若進程因編程錯誤鎖定 CPU,可能導致系統無法響應 |
| 內存泄漏導致崩潰 | 可能是 | 應用程序不釋放內存,導致系統宕機 |
| 社會工程(假裝 IT 主管騙密碼) | 不是 | 目標是欺騙人員,而非使系統不可用 |
| 嗅探(攔截網絡流量) | 不是 | 目標是竊取信息,而非讓系統崩潰 |
| 垃圾郵件(Spam) | 不是 | 除非郵件量極大,影響服務器運行 |
| 郵件炸彈(Email Bombing) | 是 | 大量郵件導致郵件服務器癱瘓 |
安全建議
-
防止非惡意 DoS 事件:
- 開發人員應做好資源管理(如避免內存泄漏、優化 CPU 計算)。
- 系統管理員應設置資源配額,防止單個應用程序獨占資源。
-
防止社會工程攻擊:
- 培訓員工,不隨意相信電話或郵件要求提供密碼。
- 啟用多因素認證(MFA),即使密碼被盜也能防止入侵。
-
防止嗅探攻擊:
- 強制使用 HTTPS/TLS 保護數據傳輸。
- 使用 VPN 加密網絡流量,避免被監聽。
-
防止垃圾郵件 DoS:
- 部署垃圾郵件過濾器,如 SPF、DKIM、DMARC 機制。
- 使用郵件速率限制,防止郵件服務器被濫用。
OSI 七層模型
OSI 模型分為 7 層,每一層都有特定的功能,并對應不同類型的設備和協議。
| 層級 | 名稱 | 功能 | 常見設備/協議 |
|---|---|---|---|
| 第 7 層 | 應用層(Application) | 提供網絡服務給應用程序 | HTTP、FTP、SMTP、DNS |
| 第 6 層 | 表示層(Presentation) | 負責數據格式轉換和加密 | SSL/TLS、JPEG、MP3 |
| 第 5 層 | 會話層(Session) | 負責建立、管理和終止會話 | NetBIOS、RPC |
| 第 4 層 | 傳輸層(Transport) | 端到端通信,提供可靠或不可靠的數據傳輸 | TCP、UDP、防火墻 |
| 第 3 層 | 網絡層(Network) | 負責 IP 地址尋址和路由選擇 | 路由器、IP、ICMP |
| 第 2 層 | 數據鏈路層(Data Link) | 負責 MAC 地址尋址和幀傳輸 | 交換機、橋接器、ARP |
| 第 1 層 | 物理層(Physical) | 傳輸比特流,定義物理接口 | 網線、光纖、中繼器、集線器 |
防火墻分類
防火墻主要分為兩大類:
-
無狀態防火墻(Stateless Firewall)
- 靜態數據包過濾防火墻(Packet Filtering Firewall)
- 應用層網關防火墻(Application-Level Gateway)
- 電路級網關防火墻(Circuit-Level Gateway)
-
有狀態防火墻(Stateful Firewall)
- 狀態檢測防火墻(Stateful Packet Inspection, SPI)
1. 狀態檢測防火墻(Stateful Firewall / SPI)
定義:
- 動態包過濾防火墻(Dynamic Packet Filtering Firewall) 是 有狀態的,它會跟蹤網絡連接的狀態和上下文,例如:
- 連接是否已建立?
- 這個包屬于哪個會話?
- 這個連接是否是合法的?
- 通過維護 狀態表(State Table),它能智能地決定是否允許數據包通過。
工作方式:
- 當一個主機(A)向服務器(B)發起 TCP 連接時,防火墻會記錄該連接的狀態,如:
A → B [SYN]B → A [SYN-ACK]A → B [ACK]
- 之后,該連接上的所有數據包都會被允許通過。
- 如果防火墻未看到三次握手(SYN-SYN-ACK-ACK),則可能會丟棄可疑的數據包!
優點:
- 能夠理解上下文:可以動態調整過濾規則,阻止異常或未授權的連接。
- 更安全:能夠阻止 TCP SYN Flood 等攻擊。
- 減少規則維護工作量:不需要為每個端口單獨創建規則。
示例:
- iptables 的
-m state --state ESTABLISHED,RELATED規則:iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT- 允許已經建立的連接繼續通信,而不必顯式允許所有數據包。
2. 無狀態防火墻(Stateless Firewall)
無狀態防火墻 不能記住先前的數據包狀態,每個數據包都獨立處理,不考慮前后的通信上下文。
2.1 靜態數據包過濾防火墻(Packet Filtering Firewall)
- 基于 IP 地址、端口號、協議(TCP/UDP/ICMP)等靜態規則 進行過濾。
- 不跟蹤連接狀態,所有數據包都按固定規則匹配,例如:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT- 允許所有 TCP 端口 80 的流量,無論它屬于哪個會話。
優點:
- 速度快,占用資源少。
缺點:
- 不能檢測非法連接(如 SYN Flood 攻擊)。
- 規則管理復雜,需要手動為每個端口設置規則。
2.2 電路級網關防火墻(Circuit-Level Gateway)
- 基于 TCP/UDP 端口和連接建立過程進行過濾。
- 不檢查具體數據內容,只檢查 TCP 三次握手是否完成。
優點:
- 速度較快,適合用于 NAT、VPN 等場景。
缺點:
- 不能檢測應用層攻擊,如 SQL 注入、XSS 等。
2.3 應用層網關防火墻(Application-Level Gateway, ALG)
- 代理流量,檢查應用層協議(如 HTTP、FTP)。
- 例如:HTTP 代理服務器可以檢查請求 URL、過濾惡意流量。
優點:
- 能夠檢測應用層攻擊(如 SQL 注入)。
缺點:
- 速度較慢,因為需要深入分析數據包內容。
總結:防火墻比較
| 防火墻類型 | 是否有狀態? | 主要特點 | 優缺點 |
|---|---|---|---|
| 靜態數據包過濾(Packet Filtering) | 無狀態 | 僅基于 IP、端口進行過濾 | 規則簡單但缺乏靈活性 |
| 電路級網關(Circuit-Level) | 無狀態 | 檢查 TCP/UDP 連接 | 不檢查數據內容 |
| 應用層網關(ALG) | 無狀態 | 代理應用層流量 | 安全性高但性能較低 |
| 狀態檢測防火墻(Stateful Firewall) | 有狀態 | 維護會話狀態表,智能調整規則 | 更安全,能防止 SYN Flood |
VPN
1. VPN 可運行在各種網絡連接上
VPN 本質上是一個 加密的隧道,用于在不安全的網絡上建立安全的通信。它可以運行在以下 各種網絡通信連接 之上:
| 網絡類型 | 描述 | VPN 適用性 |
|---|---|---|
| 有線局域網(LAN) | 例如辦公室或家庭的以太網 | 可用于員工訪問內部資源 |
| 無線局域網(WLAN) | Wi-Fi 網絡,如咖啡店、機場、酒店 | 防止公共 Wi-Fi 中的數據被嗅探 |
| 撥號連接(Dial-up) | 通過電話線連接 ISP | 速度較慢,但仍可使用 VPN |
| 廣域網(WAN) | 例如公司不同辦公室之間的 MPLS 連接 | 企業級 VPN 典型應用 |
| 互聯網(Internet) | 用戶通過 ISP 訪問遠程資源 | 遠程辦公的主要方式 |
2. VPN 的工作原理
VPN 通過 加密和隧道協議 在公共網絡上創建安全的通信路徑:
- 數據加密:使用 AES、ChaCha20、3DES 等加密算法,確保數據不會被竊聽。
- 隧道封裝:數據被封裝在 VPN 協議的數據包中,然后在公網上傳輸。
- 遠程訪問:VPN 服務器解密數據并將其發送到目標網絡。
3. VPN 的主要類型
根據用途,VPN 主要分為 遠程訪問 VPN 和 站點到站點 VPN。
(1) 遠程訪問 VPN(Remote Access VPN)
適用于 個人用戶或員工遠程訪問公司網絡,常見于遠程辦公。
- 使用場景:
- 在家辦公時訪問公司內網資源。
- 連接公共 Wi-Fi 時保護隱私。
- 協議:
- OpenVPN(最常見)
- WireGuard(性能優秀)
- L2TP/IPSec
- IKEv2/IPSec
(2) 站點到站點 VPN(Site-to-Site VPN)
用于 連接公司不同辦公室的網絡,類似于“企業內部專線”。
- 使用場景:
- 連接總部與分公司網絡。
- 通過 MPLS 或 SD-WAN 進行企業級網絡優化。
- 協議:
- IPSec
- GRE over IPSec
- DMVPN(Cisco 動態多點 VPN)
4. VPN 可運行在任何類型的互聯網連接上
- 你可以通過 4G/5G 移動數據 連接 VPN,確保流量不會被運營商或中間人監視。
- 即使在 防火墻嚴格的國家,也可以使用 Shadowsocks、V2Ray、Trojan 等協議繞過封鎖。
CIA
-
C - 機密性(Confidentiality)
- 確保信息 不被未授權訪問 或泄露。
- 主要措施:加密、訪問控制(ACL)、多因素認證(MFA)。
-
I - 完整性(Integrity)
- 確保數據的準確性和完整性,防止篡改或未授權修改。
- 主要措施:哈希(SHA-256)、數字簽名、訪問權限管理。
-
A - 可用性(Availability)
- 確保系統和數據在需要時可訪問,避免中斷或拒絕服務(DoS)。
- 主要措施:DDoS 防護、冗余(RAID)、備份和災難恢復。
WPA3
1. WPA3 的主要認證方式
WPA3 主要有兩種模式:
-
WPA3-Personal(個人模式)
- 采用 SAE(對等同步身份認證),取代 WPA2 的 PSK(Pre-Shared Key 預共享密鑰)。
- 防御離線字典攻擊:攻擊者無法通過嗅探握手包離線破解 Wi-Fi 密碼。
- 使用蜻蜓密鑰交換(Dragonfly Key Exchange),基于 Diffie-Hellman 密鑰交換,提供更強的安全性。
-
WPA3-Enterprise(企業模式)
- 采用 IEEE 802.1X 認證機制,通過 RADIUS 服務器進行身份驗證。
- 使用 EAP(可擴展身份認證協議) 進行身份驗證,支持多種方式:
- EAP-TLS(基于證書)
- EAP-TTLS(基于 TLS 隧道)
- PEAP(受保護的 EAP)
- 適用于公司、學校等場景,比 WPA3-Personal 更安全。
2. 相關協議解析
(1) IEEE 802.1X(企業級 Wi-Fi 認證)
- 基于端口的網絡訪問控制協議,確保未經身份認證的客戶端無法訪問網絡資源。
- 采用 EAP(Extensible Authentication Protocol,可擴展身份認證協議)。
- 主要用于 WPA3-Enterprise 認證。
(2) SAE(對等同步身份認證)
- 適用于 WPA3-Personal,替代傳統的 PSK 預共享密鑰。
- 采用 零知識證明(Zero-Knowledge Proof),不直接傳輸密碼。
- 防御離線字典攻擊,提高安全性。
(3) IEEE 802.1Q(VLAN 標簽)
- 定義 VLAN(虛擬局域網),用于在同一物理網絡上劃分多個邏輯網絡。
- 與 Wi-Fi 認證無關,但在企業網絡環境中常與 WPA3-Enterprise 結合使用,將不同認證級別的用戶劃分到不同 VLAN。
(4) EAP-FAST
- Cisco 專有協議,提供 安全隧道身份認證。
- 用于取代 LEAP(Lightweight EAP),因為 LEAP 存在安全漏洞。
- WPA3 不支持 EAP-FAST,企業模式主要使用 EAP-TLS、PEAP 等認證方式。
3. WPA3 安全優勢
| 安全特性 | WPA2 | WPA3 |
|---|---|---|
| 認證方式 | PSK(個人) 802.1X(企業) | SAE(個人) 802.1X(企業) |
| 離線字典攻擊防御 | 不支持(可能被捕獲握手包后破解) | 支持(SAE 防止離線破解) |
| 前向保密(Forward Secrecy) | 不支持(PSK 可用于解密歷史流量) | 支持(SAE 生成唯一密鑰,不影響歷史流量) |
| 設備保護 | 不支持(IOT 設備弱密碼易受攻擊) | 支持(WPA3-Easy Connect 提供更安全配對) |
| 加密強度 | 128-bit | 192-bit(企業級) |
權限控制
1. 賬戶類型解析
| 賬戶類型 | 描述 | 適用場景 |
|---|---|---|
| 普通用戶賬戶(User Account) | 僅具有基本訪問權限,不能更改系統設置或安裝軟件 | 適用于普通員工或訪客 |
| 訪客賬戶(Guest Account) | 受限賬戶,無法訪問敏感數據 | 適用于短期訪問 |
| 服務賬戶(Service Account) | 由應用或后臺進程使用,通常沒有交互式登錄權限 | 適用于數據庫、Web 服務器、自動任務等 |
| 特權賬戶(Privileged Account) | 具有管理員級別權限,可進行系統配置、安裝軟件等 | 適用于 IT 維護人員、維修技師、安全管理員 |
| 域管理員賬戶(Domain Admin Account) | 在 Windows AD(Active Directory)環境中,具有管理整個域的權限 | 適用于企業 IT 基礎設施管理 |
| 根賬戶(Root Account) | Linux/Unix 最高權限賬戶 | 適用于服務器運維 |
2. 為什么維修技師需要特權賬戶?
- 執行系統維護(如 Windows 更新、磁盤檢查、修復損壞的系統文件)。
- 安裝/卸載軟件(可能涉及驅動程序或關鍵系統組件)。
- 訪問受限系統文件(如
C:\Windows\System32或/etc/目錄)。 - 修改用戶權限(如調整 ACL 訪問控制列表)。
- 執行診斷命令(如
chkdsk、sfc /scannow、netstat、tasklist)。
3. 如何安全管理特權賬戶?
特權賬戶權限較高,如果管理不當,可能成為攻擊目標。 建議采取以下措施:
- 最小權限原則(PoLP):僅授予維修技師執行任務所需的最低權限。
- 使用臨時提升權限(Just-In-Time Access):讓技師在特定時間段內獲得管理員權限。
- 使用特權訪問管理(PAM)系統:如 CyberArk、BeyondTrust,監控特權賬戶的使用。
- 啟用 MFA(多因素認證):防止憑據泄露導致未經授權訪問。
- 記錄和審計特權賬戶活動:啟用 Windows 事件日志或 SIEM 監控特權賬戶行為。
AAA(Authentication, Authorization, and Accounting)服務
1. AAA 組件解析
| 組件 | 描述 | 作用 |
|---|---|---|
| A - 認證(Authentication) | 驗證用戶或設備身份 | 確保只有合法用戶可以訪問系統 |
| A - 授權(Authorization) | 控制用戶或設備可以執行的操作 | 確保用戶只能訪問允許的資源 |
| A - 計費(Accounting) | 記錄用戶的操作日志 | 監控和審計用戶行為,防止濫用 |
2. AAA 認證工作流程
- 用戶嘗試訪問系統(例如 VPN、Wi-Fi、服務器)。
- 身份驗證(Authentication):
- 用戶輸入 用戶名+密碼 或 多因素認證(MFA)。
- 服務器檢查憑據,使用 RADIUS、TACACS+ 或 LDAP 進行驗證。
- 授權(Authorization):
- 服務器決定用戶是否 有權訪問資源(如 SSH、數據庫、文件共享)。
- 可能使用 角色權限(RBAC) 或 ACL 訪問控制。
- 計費(Accounting):
- 記錄用戶訪問情況、執行的命令、訪問時長。
- 可用于 日志分析、審計、安全合規。
3. AAA 相關協議
| 協議 | 用途 | 特點 |
|---|---|---|
| RADIUS(Remote Authentication Dial-In User Service) | 遠程訪問認證、Wi-Fi 認證 | 使用 UDP,適用于大規模用戶認證 |
| TACACS+(Terminal Access Controller Access-Control System Plus) | 設備管理(如路由器、交換機) | 使用 TCP,更安全,可獨立處理認證、授權 |
| LDAP(Lightweight Directory Access Protocol) | 目錄服務(如 AD、OpenLDAP) | 適用于集中管理用戶賬戶 |
| Kerberos | 服務器和用戶的身份認證 | 適用于 Windows 域環境(Active Directory) |
4. AAA 在實際應用中的例子
- VPN 認證(用戶連接公司 VPN 時使用 AAA 進行身份驗證)
- Wi-Fi 企業級認證(WPA2-Enterprise 依賴 AAA 進行 802.1X 身份驗證)
- 服務器 SSH 訪問控制(運維人員登錄 Linux 服務器時使用 AAA 進行認證和授權)
- 網絡設備管理(Cisco 設備使用 TACACS+ 進行管理員權限控制)
- 云平臺權限管理(AWS IAM、Azure AD 使用 AAA 控制云資源訪問)
5. AAA vs IAM(身份與訪問管理)
- AAA 更偏向于網絡和系統訪問控制,如 VPN、Wi-Fi、SSH、路由器等設備的權限管理。
- IAM(Identity and Access Management) 是 更廣義的身份管理,包括 SSO(單點登錄)、用戶生命周期管理、API 訪問控制等。
令牌設備
1. TOTP vs HOTP:主要區別
| 特性 | TOTP(基于時間的 OTP) | HOTP(基于事件的 OTP) |
|---|---|---|
| 密碼生成依據 | 當前時間戳 | 計數器(事件) |
| 同步方式 | 服務器和客戶端 基于時間同步 | 服務器和客戶端 基于計數器同步 |
| 密碼有效期 | 短時間有效(如 30 秒、60 秒) | 直到被使用(不會超時) |
| 適用場景 | 動態變化快,適合短時間驗證(如 Google Authenticator、Microsoft Authenticator) | 基于計數器變化,適合不受時間限制的場景(如 YubiKey) |
| 安全性 | 較高,因為密碼過期后無效,防止重放攻擊 | 較低,如果攻擊者截獲密碼但未使用,仍可用于認證 |
| 常見實現 | Google Authenticator、Microsoft Authenticator、RSA SecurID | YubiKey、某些硬件令牌 |
2. TOTP(基于時間的一次性密碼)
- 公式:
[
TOTP = HOTP(K, T)
]
其中:K:共享密鑰(存儲在服務器和客戶端)T:當前時間戳(以 30s 或 60s 為窗口)
- 特點:
- 基于 HMAC-SHA1/SHA256 生成短期有效的 OTP。
- 常用于 Google Authenticator、微軟身份認證器、Duo Security 等 2FA 方案。
- 防止重放攻擊,因為 OTP 過期后無法再使用。
3. HOTP(基于事件的一次性密碼)
- 公式:
[
HOTP = HMAC(K, C)
]
其中:K:共享密鑰C:事件計數器(每次認證增加 1)
- 特點:
- 計數器遞增,不依賴時間,OTP 直到使用后才會失效。
- 適用于硬件令牌(如 YubiKey、RSA SecureID),不需要時間同步。
- 安全性較 TOTP 低,因為如果 OTP 被截獲但未使用,仍可用于認證。
4. HMAC 在 OTP 中的作用
- HMAC(基于哈希的信息認證碼) 用于 生成 OTP,但 本身不是身份認證手段。
- 它是一種 單向哈希函數,結合對稱密鑰生成不可逆的哈希值。
- 常見算法:HMAC-SHA1、HMAC-SHA256、HMAC-SHA512。
- HOTP 和 TOTP 都依賴 HMAC 進行 OTP 生成。
5. SAML vs OTP
- SAML(安全斷言標記語言) 不是 OTP 認證方式,而是用于 身份聯合(Federation),例如:
- 單點登錄(SSO):允許用戶在多個系統間無縫訪問(如企業 Google Workspace + AWS)。
- 身份認證協議:用于 身份提供者(IdP)和服務提供者(SP)之間交換用戶身份信息。
- XML 結構,不用于 OTP 生成,而是用于 身份共享。
6. 總結
- TOTP:基于時間,OTP 過期后無效,安全性更高(如 Google Authenticator)。
- HOTP:基于計數器,不依賴時間,但可能被重放攻擊利用(如 YubiKey)。
- HMAC:用于 OTP 生成,確保一次性密碼的安全性,但本身不是身份認證方法。
- SAML:用于 身份聯合(Federation) 和 單點登錄(SSO),而不是 OTP 生成方式。
CSP
1. 為什么數據保留策略最重要?
- 數據收集與存儲:CSP 會 收集哪些數據(如用戶身份、日志、交易信息)?
- 數據存儲時長:數據會 保存多久(是否符合法規,如 GDPR、CCPA)?
- 數據銷毀策略:數據 如何被安全刪除(是否使用安全擦除技術)?
- 數據訪問權限:誰可以訪問數據?(CSP 員工、合作伙伴,是否有第三方數據共享?)
- 合規性要求:數據保留是否符合 ISO 27001、GDPR、HIPAA、SOC 2 等標準?
例如:
- Facebook、Google、Amazon 這些公司都提供 SaaS 級別的服務,并且可以訪問用戶數據,所以它們的數據保留策略至關重要。
- 如果 CSP 發生數據泄露或保留數據過長時間,可能導致隱私合規問題或法律風險。
2. 為什么客戶數量、硬件或服務種類不如數據保留重要?
| 選項 | 影響安全的程度 | 原因 |
|---|---|---|
| 數據保留策略 | 高 | 影響數據隱私、合規性、數據生命周期管理 |
| 客戶數量 | 中 | 影響可擴展性,但對安全影響較小 |
| 所使用的硬件 | 中 | 硬件影響性能和基礎架構安全,但不如數據策略重要 |
| CSP 提供的服務(SaaS、PaaS、IaaS) | 中 | 選擇合適的服務很重要,但如果數據保留策略不安全,所有服務都有風險 |
例如:
- 一個 CSP 即使使用最安全的硬件(如 HSM 加密設備),但如果數據無限期存儲或泄露,仍然是高風險。
- 選擇 SaaS/PaaS/IaaS 是架構決策,但不影響數據最終如何存儲或被訪問。
3. CSP 的安全性如何評估?
當選擇 云服務提供商(CSP) 時,應該關注以下安全因素:
- 數據保留策略(Retention Policy)
- 數據加密(Encryption at rest & in transit)
- 訪問控制(IAM、Zero Trust、MFA)
- 數據合規性(GDPR、HIPAA、SOC 2、ISO 27001)
- 日志審計與威脅檢測(SIEM、XDR 監控)
- 備份和恢復策略(DRP,數據泄露應急響應)
結論:
數據保留策略是 CSP 選項中最重要的安全問題,因為它直接決定了數據的生命周期、隱私合規性和訪問風險。相比之下,客戶數量、硬件類型、服務種類雖然重要,但不會直接影響數據安全。企業在選擇 CSP 時,必須優先評估其數據處理和銷毀策略。
)
】)
)
會出現的問題)
)
